JP5736511B2 - Zero sign-on authentication - Google Patents

Zero sign-on authentication Download PDF

Info

Publication number
JP5736511B2
JP5736511B2 JP2014518942A JP2014518942A JP5736511B2 JP 5736511 B2 JP5736511 B2 JP 5736511B2 JP 2014518942 A JP2014518942 A JP 2014518942A JP 2014518942 A JP2014518942 A JP 2014518942A JP 5736511 B2 JP5736511 B2 JP 5736511B2
Authority
JP
Japan
Prior art keywords
access point
access
user device
authentication information
trusted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014518942A
Other languages
Japanese (ja)
Other versions
JP2014521146A (en
JP2014521146A5 (en
Inventor
スチュワート エイ. ホッガン、
スチュワート エイ. ホッガン、
シーサラーマ アール. ダーバ、
シーサラーマ アール. ダーバ、
Original Assignee
ケーブル テレビジョン ラボラトリーズ,インク.
ケーブル テレビジョン ラボラトリーズ,インク.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ケーブル テレビジョン ラボラトリーズ,インク., ケーブル テレビジョン ラボラトリーズ,インク. filed Critical ケーブル テレビジョン ラボラトリーズ,インク.
Publication of JP2014521146A publication Critical patent/JP2014521146A/en
Publication of JP2014521146A5 publication Critical patent/JP2014521146A5/ja
Application granted granted Critical
Publication of JP5736511B2 publication Critical patent/JP5736511B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Description

本発明は、メディアサービスに対するアクセスを許可する前に必要とされる認証手順の一部として、ユーザにサインオン、すなわちパスワードを入力することを要求することなく、メディアサービスに対するユーザアクセスを容易にすることに関する。   The present invention facilitates user access to media services without requiring the user to sign on or enter a password as part of the authentication procedure required before granting access to the media service. About that.

インターネットを用いて、商品及びサービスを購入する人は、通常、各店舗で身元を証明しなければならず、それは、店舗のウェブサイトがアクセスされ、あるいは他のあらゆるタイムサービスが要求される毎に、顧客は、ユーザ名及びパスワードを入力するサインオン手順を完了することが必要な場合がある。ますます多くの店舗がオンラインサービスに頼ることにより、顧客は、ユーザ名及びパスワードの多数の組合せ、すなわち各ウェブサイト毎に1つの組合せを記録することが必要な場合があり、それは、いずれもユーザの負担となっている。また、ユーザのユーザ名及びパスワードは、その情報がそれだけ多くの異なる場所に保存される可能性があり、個人情報の盗難のリスクがある。したがって、ユーザが行わなければならないサインオン動作の回数、及び/又はユーザのユーザ名及びパスワードの組合せが保存されている場所の数を制限する必要がある。   People who purchase goods and services using the Internet typically have to verify their identity at each store, whenever the store website is accessed or any other time service is required. The customer may need to complete a sign-on procedure for entering a username and password. With more and more stores relying on online services, customers may need to record multiple combinations of usernames and passwords, one for each website, all of which are user Burden. In addition, the user name and password of the user may be stored in so many different locations that there is a risk of theft of personal information. Therefore, it is necessary to limit the number of sign-on operations that the user must perform and / or the number of places where the user's username and password combination is stored.

本発明は、添付の特許請求の範囲において詳細に指摘される。しかしながら、本発明の他の特徴は、添付する図面とともに、以下の詳細な説明を参照することによって、より明らかになり、最も理解される。   The invention is pointed out with particularity in the appended claims. However, other features of the present invention will become more apparent and best understood by reference to the following detailed description taken in conjunction with the accompanying drawings.

本発明の1つの限定されない特徴によって意図されるゼロサインオンシステムを示す。1 illustrates a zero sign-on system contemplated by one non-limiting feature of the present invention.

本発明の1つの限定されない特徴によって意図されるゼロサインオンメッセージ交換のメッセージ交換図を示す。FIG. 4 shows a message exchange diagram of a zero sign-on message exchange intended by one non-limiting feature of the present invention.

本発明の1つの限定されない特徴によって意図されるアドレス割付メッセージ交換のメッセージ交換図を示す。FIG. 4 shows a message exchange diagram of an address assignment message exchange intended by one non-limiting feature of the present invention.

本発明の1つの限定されない特徴によって意図されるゼロサインオン手順をサポートする方法のフローチャートを示す。FIG. 4 shows a flowchart of a method for supporting a zero sign-on procedure intended by one non-limiting feature of the present invention. 本発明の1つの限定されない特徴によって意図されるゼロサインオン手順をサポートする方法のフローチャートを示す。FIG. 4 shows a flowchart of a method for supporting a zero sign-on procedure intended by one non-limiting feature of the present invention.

本発明の1つの限定されない特徴によって意図されるような証明書プロビジョニングのフローチャートを示す。Fig. 3 shows a flowchart of certificate provisioning as contemplated by one non-limiting feature of the present invention.

本発明の1つの限定されない特徴によって意図されるゼロサインオン手順をサポートする方法のフローチャートを示す。FIG. 4 shows a flowchart of a method for supporting a zero sign-on procedure intended by one non-limiting feature of the present invention.

必要に応じて、本発明の詳細な実施の形態をここに開示するが、しかしながら、開示する実施の形態は、発明の単なる例示であり、発明は、様々な且つ他の形式で実施できることは理解すべきである。図面は、必ずしも一定の比率であるというわけではなく、特定の構成要素を詳細に示すために、幾つかの特徴は、拡大又は縮小することができる。したがって、ここに開示する特別な構造及び機能の詳細は、限定的に解釈されるべきではなく、本発明を様々に使用することを、当業者に教示する代表的な基礎として単に解釈されるべきである。   As required, detailed embodiments of the present invention are disclosed herein; however, it is understood that the disclosed embodiments are merely exemplary of the invention, and that the invention can be embodied in various and other forms. Should. The drawings are not necessarily to scale, and some features may be enlarged or reduced to show particular components in detail. Accordingly, the specific structural and functional details disclosed herein are not to be construed as limiting, but merely as a representative basis for teaching one of ordinary skill in the art to make use of the invention in various ways. It is.

図1は、本発明の1つの限定されない特徴によって意図されるゼロサインオンシステム10を示す。システム10は、多数のユーザ装置12に適したあらゆる種類のメディアサービスに対するゼロサインオンアクセスをサポートする。例示的な目的の場合、シングルモバイルユーザ装置12、例えば、モバイルコンピュータ、電話機、タブレット、PDA等は、第1及び第2のサービスプロバイダ(SP)14、16と交換するシグナリングによって、IPベースのサービスにアクセスする。ユーザ装置12は、セットトップボックス(STB)、メディアターミナルアダプタ(MTA)及びメディアプレーヤを含むが、これらに限らず、他のどんな装置であってもよい。ユーザ装置12は、コンピュータで読取り可能な媒体に実装されたクライアントアプリケーションを含むことができ、そこには、ゼロサインオンをサポートするために、プロセッサによって実行されたときに、プロセッサに、本発明によって意図する動作を容易に行わせる命令を含む複数の命令が格納されている。   FIG. 1 illustrates a zero sign-on system 10 contemplated by one non-limiting feature of the present invention. The system 10 supports zero sign-on access to all types of media services suitable for multiple user devices 12. For exemplary purposes, a single mobile user device 12, eg, a mobile computer, a phone, a tablet, a PDA, etc., can provide IP-based services by signaling exchange with first and second service providers (SP) 14,16. To access. User device 12 includes, but is not limited to, a set-top box (STB), a media terminal adapter (MTA), and a media player. User device 12 may include a client application implemented on a computer readable medium, which, when executed by the processor to support zero sign-on, allows the processor to A plurality of instructions including an instruction for easily performing an intended operation is stored.

クライアントアプリケーションは、ユーザ/加入者インタフェースを提供するように、そうでなければ、CATV局運営会社(MOS)のサービスプロバイダ14とのインタラクションをサポートするように、構成されていてもよい。それは、一般的なウェブブラウザ、例えばインターネットエクスプローラ又はファイヤーフォックスとすることができ、あるいは、それは、カスタムアプリケーション又はあらゆる対応する種類のオペレーティングシステとすることができる。クライアントアプリケーションは、あらゆる種類の装置12、例えばPC、ラップトップ又はスマートフォン上で動作するように構成することができる。ユーザ装置12の第1の位置22は、第1のサービスプロバイダ14のサービスに申し込んだユーザのホーム又は他の位置に対応するように示しているが、それは、ユーザ装置に関連したユーザのホーム、あるいは同じ第1のサービスプロバイダ14からのサービスにたまたま申し込んだ他の人のホームであってもよい。第2の位置24は、ユーザ装置12が位置を変えた他の位置、例えばWi−Fiホットスポットに対応し、そこでは、第2のサービスプロバイダ16は、ユーザ装置12が第1のサービスプロバイダ14のサービスにアクセスするために必要なシグナリングの少なくとも一部をサポートすることが必要である。   The client application may be configured to provide a user / subscriber interface or otherwise support interaction with a service provider 14 of a CATV station operator (MOS). It can be a common web browser, such as Internet Explorer or Firefox, or it can be a custom application or any corresponding type of operating system. The client application can be configured to run on any type of device 12, such as a PC, laptop or smartphone. Although the first location 22 of the user device 12 is shown to correspond to the home or other location of the user who subscribed to the service of the first service provider 14, it is the user's home associated with the user device, Alternatively, it may be the home of another person who happens to apply for service from the same first service provider 14. The second location 24 corresponds to another location where the user device 12 has changed location, for example a Wi-Fi hotspot, where the second service provider 16 is the user device 12 is the first service provider 14. It is necessary to support at least part of the signaling required to access the services.

第1の位置22において、ユーザ装置12は、サービスプロバイダのケーブルモデム終端装置(CMT)32とのデータ交換を容易にするケーブルモデム(CM)30に接続されている。ケーブルモデム30及びCMT32は、協働し、ケーブルネットワーク34を介して、データオーバケーブルサービスインタフェース仕様(DOCSIS)に準拠した双方向高速データアクセスを可能にしている。ケーブルモデム30は、加入者のホームに設置することができ、VoIP装置(eMTA)又はセットトップに組み込むことができる。CMT32は、ネットワークアクセスを制御する、サービスプロバイダ14に関連した中心のマネージャとすることができる。サービスプロバイダ14の信頼できるドメイン38は、通常、複数のCMT32と、それらがサポートするケーブルモデム30と、それらによって管理して、その加入者とのメディアサービスのインタラクトを容易にする他の装置40、42、43とに対応している。   In a first location 22, the user equipment 12 is connected to a cable modem (CM) 30 that facilitates data exchange with a service provider cable modem terminator (CMT) 32. The cable modem 30 and the CMT 32 cooperate to enable bidirectional high-speed data access according to the Data Over Cable Service Interface Specification (DOCSIS) via the cable network 34. The cable modem 30 can be installed in the subscriber's home and can be incorporated into a VoIP device (eMTA) or set top. CMT 32 may be a central manager associated with service provider 14 that controls network access. The trusted domain 38 of the service provider 14 typically includes a plurality of CMTs 32, the cable modems 30 they support, and other devices 40 that they manage to facilitate media service interaction with their subscribers, 42 and 43.

第2のサービスプロバイダ16は、信頼できるドメインを含むように示されていないがこのような信頼できるドメインを同様に含んでいてもよい。ユーザ装置12が第2のサービスプロバイダ16に対する加入者でなく、したがって、信頼できないユーザ装置である可能性があるので、第2のサービスプロバイダ16の信頼できるドメインは示されていない。サービスプロバイダ14、16は、信頼できる及び信頼できないユーザ装置間の、すなわちより具体的には、サービスプロバイダと通信するためにそれらの装置によって用いられるアクセスポイント間の通信を同時にサポートするように構成することができる。ユーザ装置12が第1の位置22にあるとき、ケーブルモデム30及び/又はCMT32がアクセスポイントとして機能し、ユーザ装置12が第2の位置24にあるとき、無線ルータ又は他のゲートウェイ(図示せず)がアクセスポイントとして機能する。第2の位置24のアクセスポイントは、第1のサービスプロバイダ14の信頼できるドメイン38内にないので、第1のサービスプロバイダ14に対しては信頼できないアクセスポイントとみなされる(それは、第2のサービスプロバイダ16に対しては信頼できるアクセスポイントとすることができる)。   The second service provider 16 is not shown to include a trusted domain, but may include such a trusted domain as well. The trusted domain of the second service provider 16 is not shown because the user device 12 is not a subscriber to the second service provider 16 and may therefore be an untrusted user device. The service providers 14, 16 are configured to simultaneously support communication between trusted and untrusted user devices, i.e., more specifically between access points used by those devices to communicate with the service provider. be able to. When the user equipment 12 is in the first location 22, the cable modem 30 and / or CMT 32 functions as an access point, and when the user equipment 12 is in the second location 24, a wireless router or other gateway (not shown). ) Functions as an access point. Since the access point at the second location 24 is not within the trusted domain 38 of the first service provider 14, it is considered an untrusted access point for the first service provider 14 (it is the second service It can be a reliable access point for the provider 16).

本発明は、主に、衛星放送、放送及びケーブルテレビサービスプロバイダと、高速データサービスプロバイダと、電話サービスプロバイダとによって提供されるメディアサービスに対するアクセスをサポートすることについて説明するが、サービスプロバイダからの信号通信に基づくあらゆる種類のメディアサービスによるその利用も十分に意図しており、また、オプションとして、サービスプロバイダが信号を異なる位置に及び異なる種類のユーザ装置に通信できることも意図している。本発明の1つの有益な特徴を示すために、ユーザ装置12及び関連するシグナリングの通信を容易にするために用いられるアクセスポイント(例えば、信頼できる及び信頼できない)の位置に関係なく、ユーザ装置12に対するテレビ番組のIPストリーミングをサポートする限りにおいて、テレビサービスを提供する1つの例示的な具体例について説明する。テレビサービスは、加入者固有サービス、例えばパーソナルビデオ録画(PVR)、プレミアムチャンネル等と、非加入者固有サービス、例えば放送番組、視聴者制作番組等とを含むことができる。   The present invention primarily describes supporting access to media services provided by satellite, broadcast and cable television service providers, high-speed data service providers, and telephone service providers, but the signals from the service providers Its intended use by all types of media services based on communication is also fully intended and, optionally, the service provider is also able to communicate signals to different locations and to different types of user equipment. To illustrate one beneficial feature of the present invention, regardless of the location of the access point (eg, reliable and unreliable) used to facilitate communication of the user equipment 12 and associated signaling, the user equipment 12 As long as it supports IP streaming of TV programs to, one exemplary embodiment of providing TV services will be described. Television services can include subscriber-specific services such as personal video recording (PVR), premium channels, etc., and non-subscriber-specific services such as broadcast programs, viewer-produced programs, and the like.

テレビジョン信号のストリーミングは、ケーブルベースの通信システムの場合、CMT32によって、あるいは衛星放送、高速データ及び電話ベースのサービスプロバイダシステム構成の場合には、幾つかの他の類似した装置によってサポートすることができる。プロバイダ14は、テレビ番組、予め録画されたビデオ(VOD、PVR等)及び他のメディアコンテンツ(ビデオゲーム、ウェブページ等)をサポートするサーバ、ヘッドエンドユニット又は他の装置を含むことができ、それらをCMT32に供給し、その後、CMT32は、パッケージ化して、1つ以上のアクセスポイント(ゲートウェイ)に伝送する。2009年12月31日に出願された米国特許出願番号第12/650,664号には、ケーブルモデムと、あるいはCMT及びローカルのユーザ装置間のメッセージ通信をサポートするように構成された他のネットワークアクセス部との信頼状態に基づいて、ゼロサインオンを容易にする同様のシステムが開示されており、その開示は、引用することにより、本願に完全に援用される。   Television signal streaming may be supported by CMT32 for cable-based communication systems or by some other similar devices for satellite, high-speed data and telephone-based service provider system configurations. it can. Provider 14 may include servers, headend units or other devices that support television programs, pre-recorded video (VOD, PVR, etc.) and other media content (video games, web pages, etc.) Are then packaged and transmitted to one or more access points (gateways). US patent application Ser. No. 12 / 650,664 filed Dec. 31, 2009 includes a cable modem or other network configured to support message communication between CMT and local user equipment. A similar system is disclosed that facilitates zero sign-on based on trust status with the access portion, the disclosure of which is hereby fully incorporated by reference.

プロビジョニングデータベース42は、第1のサービスプロバイダ14に関連させ、信頼できるドメイン38に含まれるようにして、ユーザ装置12が入手及び/又は購入できるメディアサービスの規則を容易にすることができる。プロビジョニングデータベース42は、加入者によって料金が支払われるサービスのレベル又はサービスの種類に関する情報を含むことができる。また、プロビジョニングデータベース42は、ケーブルモデム30に関連したクライアントアプリケーションに割り当てられたIPアドレスのリストを保持することができ、例えば、加入者が複数のユーザ装置をそのケーブルモデムに接続することを認める場合、彼らのユーザ装置のそれぞれには、対応するCMT32のサブネット内の固有のIPアドレスを割り当てることができる。オプションとして、割り当てられたIPアドレスのそれぞれは、IPアドレスを特定のケーブルモデム30及び/又は加入者と関連させるのを容易にするために、サポートケーブルモデム30に割り当てられたMACアドレスと結び付けることができる。   The provisioning database 42 can be associated with the first service provider 14 and included in the trusted domain 38 to facilitate rules of media services that the user device 12 can obtain and / or purchase. The provisioning database 42 may include information regarding the level of service or type of service paid for by the subscriber. The provisioning database 42 can also maintain a list of IP addresses assigned to client applications associated with the cable modem 30, for example, when a subscriber allows multiple user devices to connect to that cable modem. Each of their user equipment can be assigned a unique IP address within the corresponding CMT 32 subnet. Optionally, each assigned IP address may be associated with a MAC address assigned to the support cable modem 30 to facilitate associating the IP address with a particular cable modem 30 and / or subscriber. it can.

第1の位置22は、DOCSISベースの通信をサポートするように示しているが、本発明は、そのように限定することを意図しておらず、サービスプロバイダ14、16が、携帯電話機又は他の有線/無線電話機に関する通信を含む他のあらゆる種類の通信を仮想的にサポートするように構成されることを十分に意図している。サービスプロバイダ14、16は、あらゆる種類の電子メディア又はメディアサービス/コンテンツに仮想的にアクセスすることを容易にするように構成することができる。加入者は、コンテンツにアクセスしたいとき、サービスプロバイダ14、16からそれを要求するように、クライアントアプリケーションに命じることができる。サービスプロバイダ14、16は、信頼できる又は信頼できないアクセスポイントのどちらかを介してコンテンツにアクセスすることを許可する前に、ユーザ装置12及び/又はそれらの加入者を認証することを要求することができ、そして、彼らが、要求したアクセスを許可されているかどうか確認することができる。   Although the first location 22 is shown to support DOCSIS-based communications, the present invention is not intended to be so limited and the service providers 14, 16 may be mobile phones or other It is fully intended to be configured to virtually support all other types of communications, including communications relating to wired / wireless telephones. Service providers 14, 16 can be configured to facilitate virtual access to any type of electronic media or media services / content. When the subscriber wants to access the content, the subscriber can instruct the client application to request it from the service provider 14,16. The service provider 14, 16 may require that the user equipment 12 and / or their subscribers be authenticated before allowing access to the content via either a trusted or untrusted access point. And can check if they are allowed the requested access.

図2は、本発明の1つの限定されない特徴によって意図されるゼロサインオンを容易にするために交換することができるメッセージのメッセージ交換図50を示す。サービスプロバイダ14は、ユーザ装置12からの要求を認証するために、認証要求をクライアントアプリケーションに送信し、クライアントアプリケーションは、認証要求をアイデンティティプロバイダ(IdP)40に転送し、サービスプロバイダ14は、加入者が認証されていることを示すアサーションを含む応答を待つことができる。また、応答は、幾つかの認証情報を含むことができる。IdP40は、サービスプロバイダ14の信頼できるドメイン38内の及び/又は信頼できる第三者機関(図示せず)を有する集中加入者認証実体であってもよい。IdP40は、サービスプロバイダ14によって要求されたとき、加入者を認証して、コンテンツアクセス決定を行うのに用いることができるアサーショントークンを、サービスプロバイダ14に供給することができる。IdP40は、DHCPサーバ43によって用いられるIPサブネットで構成され、IPアドレスを、MOSの信頼できるドメイン/ネットワーク内のクライアントアプリケーションに割り当てることができる。   FIG. 2 shows a message exchange diagram 50 of messages that can be exchanged to facilitate zero sign-on as intended by one non-limiting feature of the present invention. The service provider 14 sends an authentication request to the client application to authenticate the request from the user device 12, the client application forwards the authentication request to the identity provider (IdP) 40, and the service provider 14 Can wait for a response containing an assertion indicating that is authenticated. The response can also include some authentication information. The IdP 40 may be a centralized subscriber authentication entity within the trusted domain 38 of the service provider 14 and / or having a trusted third party (not shown). The IdP 40 can provide an assertion token to the service provider 14 that can be used to authenticate the subscriber and make a content access decision when requested by the service provider 14. The IdP 40 is composed of an IP subnet used by the DHCP server 43, and can assign an IP address to a client application in the MOS trusted domain / network.

サービスプロバイダ14は、加入者のIdP40を知らない場合、それを加入者に催促することができる。サービスプロバイダ14は、加入者が認証された後、更なる認証データを必要とする場合、要求を、MOSの認証サーバ(図示せず)に直接発行することができる。サービスプロバイダ14は、どこにでも、例えば第1及び第2の位置20、22に位置することができる。それは、MSOのネットワークのバックエンドに又はゲートウェイ装置(IPS)に位置することができる。また、それは、外部ウェブサイトに位置することができる。サービスプロバイダ14は、クライアントアプリケーションが接続してサービス/コンテンツを要求するどこにでも位置するとみなすことができる。   If the service provider 14 does not know the subscriber's IdP 40, it can prompt the subscriber for it. If the service provider 14 needs further authentication data after the subscriber is authenticated, the service provider 14 can issue the request directly to the MOS authentication server (not shown). The service provider 14 can be located anywhere, for example in the first and second locations 20,22. It can be located at the back end of the MSO network or at the gateway device (IPS). It can also be located on an external website. The service provider 14 can be considered anywhere where the client application connects and requests services / content.

本発明の1つの限定されない特徴は、ログインするためにユーザ名及びパスワードを入力する必要がなく、異なるウェブサイト(MSO及びベンダ)のサービス及びコンテンツにアクセスする加入者のゼロサインオンを可能にすることを意図している。これは、ケーブルネットワーク又はサービスプロバイダ14に関連した他の種類のネットワークの既存のセキュリティインフラストラクチュアを活用することによって、行われる。クライアントアプリケーションがサービスプロバイダ14からコンテンツを要求したとき、要求は、認証のためにIdP40に転送することができる。IdP40は、クライアントアプリケーションから転送されてきた認証要求を受信したとき、IPソースアドレス(例えば、アクセスポイントによって割り当てられたIPアドレス指定)がクライアント装置12用のMSOのIPアドレスサブネット内(例えば、その信頼できるドメイン38内)にあるかを確認することができる。   One non-limiting feature of the present invention does not require a username and password to log in, and allows zero sign-on for subscribers accessing services and content on different websites (MSO and vendor). Is intended. This is done by leveraging the existing security infrastructure of the cable network or other type of network associated with the service provider 14. When the client application requests content from the service provider 14, the request can be forwarded to the IdP 40 for authentication. When the IdP 40 receives the authentication request transferred from the client application, the IP source address (for example, the IP address assigned by the access point) is within the IP address subnet of the MSO for the client device 12 (for example, its trust). It can be confirmed whether it is in the domain 38).

IPソースアドレスが信頼できるドメイン38内にある場合、IdP40は、プロビジョニングシステム42に、IPソースアドレスを用いて加入者情報IDを問い合わせる。そして、IdP40は、アサーション応答を生成して、サービスプロバイダ14に送信することができる。重要なことは、この認証は、加入者に、認証情報(ユーザ名及びパスワード)を催促することなく、行うことができる。サービスプロバイダ14は、アサーショントークンを検証した後、クライアントアプリケーションがコンテンツにアクセスすることを許可することができる。IdP40は、転送されてきた認証要求がMSOのネットワークから来ていなかった場合、クライアントアプリケーションが有効なセキュリティコンテキストを有しない限り、加入者に、彼らの認証情報(ユーザ名、パスワード)を用いて認証することを要求することになる。   If the IP source address is in the trusted domain 38, the IdP 40 queries the provisioning system 42 for the subscriber information ID using the IP source address. The IdP 40 can then generate an assertion response and send it to the service provider 14. Importantly, this authentication can be done without prompting the subscriber for authentication information (user name and password). The service provider 14 can authorize the client application to access the content after verifying the assertion token. IdP 40 authenticates subscribers using their authentication information (username, password) unless the client application has a valid security context if the forwarded authentication request does not come from the MSO network. Will be required to do.

IdP40は、ゼロサインオンを用いてクライアントアプリケーションを認証した後、クライアントアプリケーションとの間に認証セッション、すなわちセキュリティコンテキストを確立することができ、期限付きトークン、すなわちクッキーを生成し、クッキーはクライアントアプリケーションに保存される。サービスプロバイダ(あらゆるSP)は、クライアントアプリケーションに、認証のための要求を再度IdP40に転送させたとき、IdP40は、クッキーがまだ有効な(期限切れでない)場合、加入者に催促する必要がなく、即座に、認証アサーションによって応答することができる。オプションとして、クライアントアプリケーションは、有効な認証セッションクッキーを有している限り、IdP40と同じ信頼の環にあるあらゆるサービスプロバイダ14、16に接続することができ、その加入者に、認証情報によってログインすることを要求する必要はない。これは、用いるアクセスネットワークから独立しており、それは、加入者が、彼らのクライアントアプリケーションをケーブルネットワークから他のアクセスネットワークに移動して、異なるドメインのサービスプロバイダ16に接続し、依然としてゼロサインオン機能を享受し続けることができることを、意味する。   After authenticating the client application using zero sign-on, the IdP 40 can establish an authentication session, i.e., a security context, with the client application and generate a time-limited token, i.e., a cookie, Saved. When the service provider (any SP) has the client application forward the authentication request back to the IdP 40, the IdP 40 does not need to prompt the subscriber if the cookie is still valid (not expired) and immediately In response to an authentication assertion. Optionally, as long as the client application has a valid authentication session cookie, it can connect to any service provider 14, 16 in the same trust ring as the IdP 40 and log in to that subscriber with authentication information. There is no need to request that. This is independent of the access network used, which means that subscribers move their client applications from the cable network to other access networks and connect to service providers 16 in different domains and still have zero sign-on functionality Means that you can continue to enjoy

IdP40は、適切なアサーション応答を生成するために、クライアントアプリケーションのIPソースアドレスを用いて、加入者情報をプロビジョニングシステム42に問い合わせる。図3は、本発明の1つの限定されない特徴に基づいて、IPソースアドレスに関連した加入者を判定するメッセージ交換図60を示す。クライアントアプリケーションがIPアドレスを要求したとき、CMT32は、サービスプロバイダ14が知っていて信頼できる加入者のケーブルモデム30のMACアドレスを要求に挿入した後、要求をDHCPサーバ43に転送する。DHCPサーバ43は、IPアドレスをクライアントアプリケーションに割り当てた後、プロビジョニングシステム42に通知し、どのケーブルモデム30のMACアドレスに関連するかを示すことができる。また、DHCPサーバ43は、IPアドレスが所定のケーブルモデムのMACアドレスに関連しなくなる(期限切れになる又は他の装置に割り当てられる)ときを、プロビジョニングシステム42に通知することができる。したがって、プロビジョニングシステム42は、加入者のケーブルモデムのMACアドレスに関連したクライアントアプリケーションIPソースアドレスのマッピングを生成することができる。   The IdP 40 queries the provisioning system 42 for subscriber information using the client application's IP source address to generate an appropriate assertion response. FIG. 3 shows a message exchange diagram 60 for determining a subscriber associated with an IP source address based on one non-limiting feature of the present invention. When the client application requests an IP address, the CMT 32 inserts the MAC address of the subscriber's cable modem 30 that the service provider 14 knows and trusts into the request and then forwards the request to the DHCP server 43. After assigning an IP address to the client application, the DHCP server 43 can notify the provisioning system 42 and indicate which cable modem 30 is associated with the MAC address. The DHCP server 43 can also notify the provisioning system 42 when an IP address is no longer associated with a given cable modem's MAC address (expires or is assigned to another device). Accordingly, the provisioning system 42 can generate a mapping of the client application IP source address associated with the subscriber's cable modem MAC address.

一旦クッキーが期限切れになると、クライアントアプリケーションは、再認証される必要があるが、その認証は、クライアントアプリケーションが再びケーブルネットワークに接続されたときに、自動的に行うことができる(ゼロサインオン)。クッキーが期限切れになる前に、クライアントアプリケーションがケーブルネットワークに接続することができない場合、IdP40は、加入者に、認証セッショントークン(シングルサインオン)を再開する認証情報(ユーザ名及びパスワード)を催促することができる。クッキーは、リフレッシュされる必要がある前に、特定の期間、例えば1日、1週間、1ヶ月間、6ヶ月間持続するように、プロビジョニングすることができる。クッキーをこのように用いることにより、加入者がサインオンする必要がなく、メディアにその期間アクセスするために加入者によって用いられるウェブサイト又は他のサービスプロバイダポータルに対するゼロサインオンアクセスを容易にすることができる。クッキーは、ユーザ装置12のコンピュータで読取り可能なメディアに保存することができ、ユーザ装置12を持ったあらゆるユーザは、対応するメディアサービスに対するアクセスを受信することができる。   Once the cookie expires, the client application needs to be re-authenticated, but that authentication can be done automatically when the client application is connected to the cable network again (zero sign-on). If the client application cannot connect to the cable network before the cookie expires, the IdP 40 prompts the subscriber for authentication information (user name and password) to resume the authentication session token (single sign-on). be able to. Cookies can be provisioned to last for a specific period of time, such as 1 day, 1 week, 1 month, 6 months, before needing to be refreshed. Use of cookies in this way facilitates zero sign-on access to websites or other service provider portals used by subscribers to access media for that period of time without requiring subscribers to sign on. Can do. The cookie can be stored on the computer readable media of the user device 12 and any user with the user device 12 can receive access to the corresponding media service.

本発明の1つの限定されない特徴は、ユーザ装置12に保存されているセキュリティ認証情報(例えば、トークン、クッキー等)を、むしろ証明書を保存することによって、強化することを意図している。証明書は、ユーザ名及びパスワードの認証情報よりも強固である。パスワードは、余りにも単純で、ハッカーは簡単に推測することができ、すなわち辞書攻撃に脆弱である。また、それらは、友人と共有することができ、結果として、サービスに対する無許可アクセスとなる。デジタル証明書は、これらの脆弱性の対象とはならず、高いレベルの加入者認証を提供する。加入者は、一旦、彼らの装置にデジタル証明書をインストールすると、ユーザ名及びパスワードの代わりに、デジタル証明書を用いて、加入者を認証できるので、また、ゼロサインオンを体験することができる。   One non-limiting feature of the present invention is intended to enhance security authentication information (e.g., tokens, cookies, etc.) stored on the user device 12 rather by storing certificates. The certificate is stronger than the user name and password authentication information. Passwords are too simple and hackers can easily guess, ie they are vulnerable to dictionary attacks. They can also be shared with friends, resulting in unauthorized access to the service. Digital certificates are not subject to these vulnerabilities and provide a high level of subscriber authentication. Subscribers can also experience zero sign-on once they have installed a digital certificate on their device, using a digital certificate instead of a username and password to authenticate the subscriber .

加入者デジタル証明書による1つの課題は、それらを安全な方法で加入者の装置12にインストールすることである。1つの方法は、加入者に、証明書マネージャアプリケーションをダウンロード及びインストールさせて、証明書署名要求(CSR)を生成し、それを証明書発行サーバに送信することである。証明書発行サーバは、加入者を認証する必要があり、その後、証明書を発行することができる。そして、ユーザ名及びパスワードだけを用いた場合は、証明書によって高められた認証強度は失われる。セキュリティは、単に、その最も弱いリンクと同様の強さである。加入者認証のより強い形態は、デジタル証明書の発行を制御することである。   One challenge with subscriber digital certificates is to install them on the subscriber's device 12 in a secure manner. One way is to have the subscriber download and install a certificate manager application to generate a certificate signing request (CSR) and send it to the certificate issuing server. The certificate issuing server needs to authenticate the subscriber and can then issue a certificate. If only the user name and password are used, the authentication strength enhanced by the certificate is lost. Security is simply as strong as its weakest link. A stronger form of subscriber authentication is to control the issuance of digital certificates.

上述したDOCSISネットワーク34又は他の種類のネットワーク(例えば、アクセスポイントとサービスプロバイダ間の携帯電話ネットワーク)を用いて、加入者証明書を発行するのに適した2要素加入者認証をサポートすることができる。証明書発行サーバ(例えば、IdP40、CMT32、あるいは特定のサービスプロバイダ14の信頼できるドメイン38の他の要素)は、以下のステップを行うことによって、2要素加入者認証を実行することができる:1−加入者が有効なユーザ名及びパスワードを有するかを、例えば、加入者にシングルサインオンを実行することを要求することによって、検証する;2−CSR要求がソースIPアドレス、すなわち加入者の認証されたケーブルモデム30に関連したソースIPアドレスを有するかを、例えば以下に説明するアドレス保証手順に基づいて、検証する。これらの検証ステップの両方ともが成功した場合、加入者の認証レベルは、証明書発行サーバが証明書を加入者の装置に対して発行するのに十分な強さとすべきである。   Supporting two-factor subscriber authentication suitable for issuing subscriber certificates using the DOCSIS network 34 or other types of networks described above (eg, a cellular network between an access point and a service provider). it can. A certificate issuing server (eg, IdP 40, CMT 32, or other element of the trusted domain 38 of a particular service provider 14) can perform two-factor subscriber authentication by performing the following steps: Verify whether the subscriber has a valid username and password, for example by requiring the subscriber to perform a single sign-on; 2-CSR request is the source IP address, ie authentication of the subscriber It is verified whether it has a source IP address associated with the cable modem 30, for example, based on an address guarantee procedure described below. If both of these verification steps are successful, the subscriber's authentication level should be strong enough for the certificate issuing server to issue a certificate to the subscriber's device.

証明書は、加入者の名前、すなわちユーザ装置のユーザ名及びMACアドレス、アクセスポイント、及び/又はCMT32を含むことができる。MACアドレスを含めることにより、証明書が装置間に亘って共有されることを防止するのに役立つことができる。一旦、証明書がユーザ装置12にインストールされると、ユーザ装置12がインターネット上のサービス又はコンテンツにアクセスするとき、ユーザ名及びパスワードを用いることなく、証明書を用いて、ユーザ装置12を自動的に認証することができる。ケーブルラボOLCA仕様は、ケーブルテレビ事業者及びそれらのパートナーが、どのようにSAML連携シングルサインオン認証を用いて、加入者に彼らのケーブルテレビ事業者アカウント認証情報を用いてオンラインでそれらのビデオコンテンツにアクセスすることを許可するかを規定しており、その開示は、引用することにより、本願に完全に援用される。加入者は、通常は、ユーザ名及びパスワードによって認証されるが、証明書を用いて、ゼロサインオンを体験することができる。   The certificate may include the subscriber's name, i.e. the username and MAC address of the user equipment, the access point, and / or the CMT 32. Inclusion of the MAC address can help prevent certificates from being shared across devices. Once the certificate is installed on the user device 12, when the user device 12 accesses a service or content on the Internet, the user device 12 is automatically used using the certificate without using a user name and password. Can be authenticated. The Cable Lab OLCA specification is how cable TV operators and their partners use SAML federated single sign-on authentication to subscribers and their video content online using their cable TV operator account credentials. The disclosure of which is fully incorporated herein by reference. Subscribers are usually authenticated by username and password, but can use certificates to experience zero sign-on.

加入者が認証のためにケーブルテレビ事業者のサイトに接続するとき、彼らのホームネットワーク上で又は外部ネットワーク上で、ゼロサインオンを、相互に認証されたトランスポート層セキュリティ(TLS)接続によって達成することができる。証明書は、サーバとクライアント間で自動的に交換することができる。証明書の有効性確認が成功した場合、サーバは、SAMLアサーション転送コマンドによって応答し、それは、アサーションの有効性確認及び要求されたコンテンツ/サービスに対するアクセスのために加入者をサービスプロバイダに送り返す。証明書は、高いレベルの認証を与え、したがって、上述したクッキーは、例えば6ヶ月以上毎に1回以下の頻度で更新される必要はない。証明書を更新する必要があるとき、例えば1年の期間の後、証明書マネージャアプリケーションは、証明書発行サーバに接続して、新しい証明書をインストールする。既存の証明書がまだ期限切れでない場合、有効な証明書と、加入者のユーザ名及びパスワードとの両方は、2要素認証に用いることができるので、証明書更新は、ホームネットワーク上又はホームネットワーク外で起こることができる。既存の証明書が期限切れになっている場合、最初の証明書発行で説明したように、2要素認証を証明書発行サーバに供給するために、証明書更新は、ホームネットワーク上で起こる必要がある。   When subscribers connect to a cable TV operator's site for authentication, zero sign-on is achieved by a mutually authenticated Transport Layer Security (TLS) connection on their home network or on an external network can do. Certificates can be automatically exchanged between the server and the client. If the certificate validation is successful, the server responds with a SAML assertion transfer command, which sends the subscriber back to the service provider for assertion validation and access to the requested content / service. Certificates provide a high level of authentication, so the above mentioned cookie need not be renewed as often as once every six months or more, for example. When a certificate needs to be renewed, for example after a period of one year, the certificate manager application connects to a certificate issuing server and installs a new certificate. If the existing certificate has not yet expired, both a valid certificate and the subscriber's username and password can be used for two-factor authentication, so certificate renewal is on the home network or outside the home network Can happen at. If the existing certificate has expired, certificate renewal needs to occur on the home network to provide two-factor authentication to the certificate issuing server, as described in Initial certificate issuance .

上でサポートしたように、本発明は、信頼認証情報(例えば、クッキー又は証明書)をユーザ装置12に保存して、自動ゼロサインオン認証及びメディアサービスに対するアクセスを容易にするゼロサインオン手順を意図している。図4は、本発明の1つの限定されない特徴に基づいて説明される、クッキー及び証明書の両方を用いたゼロサインオン手順をサポートする方法のフローチャート70を示す。クッキー及び証明書の1つ以上を用いることを説明するが、本発明は、クッキー及び証明書のうちの1つに関連した手順だけに基づく、すなわち単にクッキーだけ又は証明書だけを用いた方が望ましい環境に対する同様のゼロサインオン手順を容易にすることを十分に意図している。   As supported above, the present invention provides a zero sign-on procedure that stores trusted authentication information (eg, a cookie or certificate) on user device 12 to facilitate access to automatic zero sign-on authentication and media services. Intended. FIG. 4 shows a flowchart 70 of a method for supporting a zero sign-on procedure using both cookies and certificates, described in accordance with one non-limiting feature of the present invention. Although using one or more of cookies and certificates will be described, the present invention is based solely on procedures related to one of cookies and certificates, i.e., using only cookies or certificates alone. It is fully intended to facilitate a similar zero sign-on procedure for the desired environment.

ブロック72において、ユーザ装置は、初めて、あるいはクッキー又は証明書が割り当てられる前に、例えばユーザ装置がまず最初に配置されたときに、アクセスポイントに接続される。アクセスポイントが、例示的な限定されない目的で、1つ以上のユーザ装置との無線通信を容易にするために、ルータ又は他のゲートウェイが接続されるケーブルモデム又は同様のエッジタイプ装置であることについて、主に説明する。しかしながら、アクセスポイントは、例えば装置である必要はなく、特に、それに対する接続が、その事業者によって局所的に制御されるような装置である必要はない。アクセスポイントは、CMT、あるいはサービスプロバイダサポートネットワークの1つに対する他のインタフェースであってもよい。   In block 72, the user device is connected to the access point for the first time or before the cookie or certificate is assigned, eg, when the user device is first deployed. The access point is a cable modem or similar edge type device to which a router or other gateway is connected to facilitate wireless communication with one or more user devices for exemplary non-limiting purposes. , Mainly explained. However, the access point does not have to be a device, for example, and in particular does not have to be a device whose connection is controlled locally by the operator. The access point may be the CMT or other interface to one of the service provider support networks.

ユーザ装置がローカル無線ルータに接続し、そして、無線ルータが、ユーザ装置をケーブルモデム及びCMT経由でサービスプロバイダに知らせる例示的な具体例を、特定のシナリオに関するものとして示し、そこでは、意図するゼロサインオンは、加入者のユーザ装置が信頼できるアクセスポイントと信頼できないアクセスポイント間を移動する際に、加入者が連続してサービスにアクセスするのに役立つことができる。これは、主に、ユーザ装置が無線ネットワークを移動する、すなわちそれらが無線ルータによってサポートされる場合に、起こると思われる。もちろん、セルラネットワーク及び/又はブロードキャストネットワークは、アクセスポイントとしてルータを含まなくてもよいが、むしろ他の装置、例えば限定されないが、マクロセル、マイクロセル、ピコセル又はフェムトセルに依存する。本発明は、これらの他の種類のアクセスポイント及び対応する通信媒体に適用されるゼロサインオン手順を完全に意図している。   An illustrative example is shown for a particular scenario where a user equipment connects to a local wireless router and the wireless router informs the service provider via a cable modem and CMT, where the intended zero is shown. Sign-on can help the subscriber to continuously access services as the subscriber's user equipment moves between trusted and untrusted access points. This is likely to happen mainly when user equipment moves in a wireless network, i.e. they are supported by a wireless router. Of course, cellular networks and / or broadcast networks may not include routers as access points, but rather rely on other devices, such as but not limited to macrocells, microcells, picocells or femtocells. The present invention fully contemplates zero sign-on procedures applied to these other types of access points and corresponding communication media.

ブロック74において、接続されたアクセスポイントが信頼できるかを判定する。アクセスポイントは、ユーザ装置がメディアサービスにアクセスしようと試みるサービスプロバイダの信頼できるドメイン内にあるかどうかによって決まる信頼できるかと信頼できないかの1つであるとみなすことができる。この判定は、ユーザ装置に、それがアクセスしようと試みるメディアサービスを識別するように、あるいは一方、サービスが要求されるサービスプロバイダを識別するように要求することができる。信頼性の1つのテストは、メディアサービスにアクセスするために要求した時にユーザ装置に割り当てられたIPアドレスに基づいて行うことができる。IPアドレスが、サービスプロバイダのIPアドレスの信頼できるドメイン内、例えばサービスプロバイダの信頼できるCMTの1つのIPサブネット内にある場合、アクセスポイントは信頼でき、そうでない場合は、信頼できないとみなすことができる。   In block 74, it is determined whether the connected access point is reliable. An access point can be considered as one of trusted or untrusted depending on whether the user equipment is in the trusted domain of the service provider attempting to access the media service. This determination may require the user equipment to identify the media service that it attempts to access, or identify the service provider for which the service is requested. One test of reliability can be based on the IP address assigned to the user equipment when requested to access the media service. If the IP address is within the trusted domain of the service provider's IP address, eg, within one IP subnet of the service provider's trusted CMT, the access point can be trusted, otherwise it can be considered untrusted. .

ユーザ装置を、信頼できないアクセスポイントを介した信頼認証情報(すなわち、クッキー及び/又は証明書の一方又は両方)によって最初にプロビジョニングすることは望ましくない場合があるので、アクセスポイントが信頼できない場合、ブロック72に戻ることになる。オプションとして、ブロック76において、ユーザに、サインオン動作によって彼らのユーザ名及びパスワードを入力することにより、要求したメディアサービスにアクセスする選択肢が与えられる。そして、ユーザ名及びパスワードが検証された場合、ユーザは、信頼認証情報によってプロビジョニングされる前に、正当にメディアサービスにアクセスすることができる。   Since it may not be desirable to initially provision the user equipment with trusted credentials (ie, one or both of cookies and / or certificates) via an untrusted access point, block if the access point is untrusted Return to 72. Optionally, at block 76, the user is given the option of accessing the requested media service by entering their username and password through a sign-on operation. If the user name and password are verified, the user can legitimately access the media service before being provisioned with the trusted authentication information.

ブロック78において、アクセスポイントを信頼して、サインオン動作が実行された場所を判定する。サインオン動作は、オプションのステップであってもよく、そこでは、加入者は、信頼認証情報としてのクッキー及び/又は証明書によって、ユーザ装置をプロビジョニングするかどうかを判断する。オプションとして、加入者に判断することを許可するのではなく、サービスプロバイダは、加入者にサインオンを強制することができるという点において、特定の動作を要求することができ、及び/又はサービスプロバイダは、クッキープロビジョニングを、例えば加入者契約義務及び/又は加入者の振る舞いに基づいて、自動的に強制することができる(例えば、加入者及びユーザ装置が不適切と思われる動作を行っている又は行っていた場合、より安全な及び長期に亘る証明書のプロビジョニングを妨げることができる)。   At block 78, the access point is trusted to determine where the sign-on operation has been performed. The sign-on operation may be an optional step in which the subscriber determines whether to provision the user equipment with a cookie and / or certificate as trusted authentication information. Optionally, rather than allowing the subscriber to make a decision, the service provider may require a specific action and / or service provider in that the subscriber may be forced to sign on. Can automatically enforce cookie provisioning based on, for example, subscriber contract obligations and / or subscriber behavior (e.g., the subscriber and user equipment are performing inappropriate actions or If so, it can prevent more secure and long-term certificate provisioning).

ブロック80、82において、クッキー及び証明書の一方又は両方によって、ユーザ装置をプロビジョニングする。証明書は、その伝送のセキュリティを上げるために、帯域内信号を介する又はサーバプロバイダの信頼できるドメインの専用の部分を介するアクセスポイントへの伝送を要求することができる。クッキーは、同様の方法で伝送することができ、及び/又はクッキーは、そのセキュリティが余り重要でないので、帯域外信号を介して又はインターネット上を伝送することができ、例えば、クッキーは、セキュアソケットレイヤ(SSL)パイプを介して伝送することができる。帯域内信号は、既知のエンドポイント間で起こり、SSLパイプは必要でないので、SSLパイプは、帯域内信号よりも安全性が低い。   In blocks 80 and 82, the user equipment is provisioned with one or both of cookies and certificates. The certificate may require transmission to the access point via in-band signaling or via a dedicated portion of the server provider's trusted domain to increase the security of its transmission. Cookies can be transmitted in a similar manner, and / or cookies can be transmitted via out-of-band signals or over the Internet, as their security is less important, eg, cookies are secured sockets It can be transmitted over a layer (SSL) pipe. In-band signals occur between known endpoints and SSL pipes are not required, so SSL pipes are less secure than in-band signals.

ゼロサインオン方法の上述の部分は、クッキー及び証明書の一方又は両方を保存するようにユーザ装置をプロビジョニングするという点で、概してプロビジョニング段階と称することができる。しかしながら、例えば購入又はインストール(好ましくは、サービスプロバイダの許可された信頼できる代理人によるインストール)のときに、既に、信頼認証情報によって、ユーザ装置がプロビジョニングされている場合、この段階は、オプションであり、避けることができる。フローチャートの次の部分は、概して認証段階と称することができ、そこでは、ユーザ装置は、場合によってはゼロサインオン動作によって認証され、保存した信頼認証情報に基づいて、メディアサービスにアクセスする。 The above portion of the zero sign- on method can be generally referred to as the provisioning stage in that the user device is provisioned to store one or both of cookies and certificates. However, this stage is optional if the user equipment is already provisioned with trust credentials, for example upon purchase or installation (preferably installation by an authorized trusted agent of the service provider). Can be avoided. The next part of the flowchart can be generally referred to as an authentication phase, where the user equipment is authenticated, possibly by a zero sign- on operation, and accesses the media service based on the stored trusted authentication information.

ブロック84において、ユーザ装置からのメディアサービスの要求を判定する。この判定は、ユーザ装置をアクセスポイントに接続することに関するブロック72における上述した判定と同じであってもよい。ブロック84は、認証段階の始まりを説明するために簡単に示しているが、十分な判定が既に行われている場合は、スキップすることができる。ブロック84は、メディアサービスにアクセスする要求の発行があり次第、例えばユーザ装置が、特定のサービスプロバイダからコンテンツを要求するために、ウェブサイトにアクセスした場合に起動することができる。また、他の起動事象は、ユーザ装置を認証する必要があるかを判定することと等価であってもよく、例えばユーザ装置の電源「オン」、電話番号をダイアルするときの「送信」の入力(例えば、セルラアクセスの認証のために)等であってもよい。   At block 84, a request for media service from the user device is determined. This determination may be the same as described above in block 72 regarding connecting the user equipment to the access point. Block 84 is shown briefly to illustrate the beginning of the authentication phase, but can be skipped if sufficient determination has already been made. Block 84 may be activated as soon as a request to access a media service is issued, for example, when a user device accesses a website to request content from a particular service provider. Also, other activation events may be equivalent to determining whether the user device needs to be authenticated, for example, power on the user device “on”, input of “send” when dialing a phone number (For example, for authentication of cellular access).

ブロック86において、メディアサービスに対するアクセスを要求した時点でユーザ装置が用いたアクセスポイントが、信頼できるアクセスポイントであるかどうかを判定する。アクセスポイントが信頼できるかどうかの判定は、ここに十分に説明されており、既にブロック74で判定されている場合には、それに応じてブロック86をスキップすることができる。ブロック88において、信頼できる/信頼できないの判定を用いて、ゼロサインオンを容易にするために信頼認証情報が必要であるかどうかを区別する。さらに以下で詳細に説明するように、本発明の1つの限定されない特徴は、信頼認証情報に依存することなく、例えばアクセスポイントの信頼できる状態に基づいて、ゼロサインオンを容易にすることを意図している。 In block 86, it is determined whether the access point used by the user equipment when requesting access to the media service is a trusted access point. Determining whether the access point is reliable is fully described herein, and if already determined at block 74, block 86 can be skipped accordingly. At block 88, a trusted / untrusted determination is used to distinguish whether trusted authentication information is required to facilitate zero sign- on. As described in further detail below, one non-limiting feature of the present invention is intended to facilitate zero sign- on without relying on trusted authentication information, for example, based on the trusted state of the access point. doing.

ブロック88において、アクセスポイントは信頼できるかどうかを判定する。これは、例えば、ユーザ装置に関連した加入者、すなわちユーザ装置の所有者本人と認証された者のホームのアクセスポイントに、ユーザ装置が接続した場合、及び/又はアクセスポイントがユーザ装置の所有者以外の誰かに関連するとともに、対応するアクセスポイントが依然としてサービスプロバイダの信頼できるドメイン内にある他のホーム又は他の位置に、そのユーザ装置が位置する場合、例えば、加入者がユーザ装置を仲間のところに持って行き、仲間のアクセスポイントに接続した場合に、起こることがある。   At block 88, the access point determines whether it can be trusted. This may be the case, for example, when the user device is connected to the home access point of the subscriber associated with the user device, i.e. the person who has been authenticated as the user device owner and / or the access point is the owner of the user device. If the user device is located in another home or other location that is associated with someone other than that and the corresponding access point is still in the service provider's trusted domain, for example, the subscriber This can happen if you take it there and connect to a fellow access point.

また、ブロック88において、ユーザ装置に保存されている信頼認証情報がクッキー及び/又は認証情報であるかどうかに応じて、認証段階の次の段階を区別する。両方の種類の信頼認証情報がユーザ装置に保存されている場合、どちらかの一方、例えば最も安全でありそうな証明書を、ユーザによって手動で、あるいは自動的に用いられるクライアントアプリケーションによって自動的に選択することができる。しかしながら、オプションとして、特定のアクセスポイント及び/又はメディアサービスは、用いる信頼認証情報を指示することができ、例えば、特定のウェブサイトは、証明書よりもクッキーを用いることをより促進する場合がある。   Also, in block 88, the next stage of the authentication stage is distinguished depending on whether the trusted authentication information stored in the user device is a cookie and / or authentication information. If both types of trusted credentials are stored on the user device, either one, for example, the most secure certificate, either automatically by the user or automatically by the client application used automatically You can choose. However, as an option, certain access points and / or media services can indicate the trusted authentication information to use, for example, certain websites may facilitate the use of cookies rather than certificates. .

ブロック90において、証明書ベースのゼロサインオン動作を実行して、ユーザ装置は、認証され、そこに保存されている証明書に関連したメディアサービスにアクセスする。複数の証明書が保存されている場合、例えばユーザ装置が異なる加入者によって用いられる場合、ユーザ装置は、ゼロサインオン機能を維持するためにユーザとの対話処理を必要とせず、例えばユーザ装置の現在及び過去の動作特性及び性能によって定まるように、ユーザのアイデンティティに対応した証明書を選択することによって、証明書を自動的に選択するように構成することができ、すなわち、クライアントアプリケーションは、ユーザが情報を入力する必要がなく、ユーザを識別することができ、そのユーザに関連した証明書を自動的に選択することができる。 At block 90, performing a certificate-based zero sign- on operation, the user device accesses the media service associated with the certificate that is authenticated and stored therein. When multiple certificates are stored, for example when the user equipment is used by different subscribers, the user equipment does not require user interaction to maintain the zero sign- on function, eg, the user equipment The client application can be configured to automatically select a certificate by selecting a certificate corresponding to the user's identity, as determined by current and past operating characteristics and performance, ie, the client application Does not need to enter information, can identify a user, and can automatically select a certificate associated with that user.

ブロック92において、クッキーベースのゼロサインオン動作を実行して、ユーザ装置は、認証され、そこに保存されているクッキーに関連したメディアサービスにアクセスする。複数のクッキーが保存されている場合、例えばユーザ装置が異なる加入者によって用いられる場合、ユーザ装置は、ゼロサインオン機能を維持するためにユーザとの対話処理を必要とせず、例えばユーザ装置の現在及び過去の動作特性及び性能によって定まるように、ユーザのアイデンティティに対応したクッキーを選択することによって、クッキーを自動的に選択するように構成することができ、すなわち、クライアントアプリケーションは、ユーザが情報を入力する必要がなく、ユーザを識別することができ、そのユーザに関連したクッキーを自動的に選択することができる。 At block 92, performing a cookie-based zero sign- on operation, the user device accesses the media service associated with the authenticated and stored cookie. When multiple cookies are stored, for example when the user device is used by different subscribers, the user device does not require user interaction to maintain the zero sign- on function, eg, the user device's current And by selecting a cookie corresponding to the user's identity, as determined by past operating characteristics and performance, the client application can be configured to automatically select the There is no need to enter, the user can be identified, and the cookie associated with that user can be automatically selected.

オプションとして、クッキーは、比較的小さなデータ量を有する場合があり、あるいはそうでない場合、メディアサービスに関するユーザ及び/又はユーザの資格を特に識別するように構成されていない。これは、多数のユーザのクッキーを分類するために必要とされる処理要求及び/又はバックエンド動作を良くするためになされている可能性がある。むしろ、クッキーは、ユーザ装置のような信頼できる実体を示すために単に用いることができ、それは、たとえ特に検証されていないとしても、クッキーを有していれば、信頼できるとみなされる。   Optionally, the cookie may have a relatively small amount of data, or otherwise it is not configured to specifically identify the user and / or the user's credentials for the media service. This may have been done to improve the processing requirements and / or backend behavior required to classify a large number of user cookies. Rather, cookies can be used simply to indicate a trusted entity, such as a user device, which is considered trusted if it has cookies, even if not specifically verified.

オプションとして、サービスプロバイダが、ユーザ装置がその信頼性の十分な証拠として信頼できるアクセスポイントに接続されているという事実を進んで受け入れる場合、ブロック92におけるクッキーの使用は省略することができる。このシナリオを用いて、同じ種類のコンテンツに対する全てのホームアクセスを容易にすることができ、例えば伝統的なテレビ放送シナリオにおいて、家庭内の全てのテレビジョン受像機は、アクセスポイントに接続することが許可されたあらゆる装置に対する同じコンテンツにアクセスすることができる。更なるオプションとして、例えば同じ家庭内の全てのテレビジョン受像機では利用できない特定のテレビジョン信号にアクセするためには、STB又はDVRが必要であるのと同じように、クッキーに少なくとも部分的に基づいて、特定のメディアサービスにアクセスすることを許可することができる。   Optionally, if the service provider is willing to accept the fact that the user device is connected to a trusted access point as sufficient evidence of its authenticity, the use of cookies in block 92 can be omitted. This scenario can be used to facilitate all home access to the same type of content, for example, in a traditional television broadcast scenario, all television receivers in the home can be connected to an access point. The same content for any authorized device can be accessed. As a further option, cookies may be at least partially used in the same way that STB or DVR is required to access specific television signals that are not available on all television receivers in the same home, for example. Based on this, access to a specific media service can be permitted.

クッキーを用いない、あるいは用いたクッキーが自己識別しない、及び/又はユーザ装置及び/又はユーザを識別するために他の動作を実行することを避けることが望ましい場合、例えば、MACアドレスをマッチングすることによって、あるいは幾つかの他のマッピング動作を実行することによって、ユーザ装置に対して認証された資格/メディア許可は、むしろ、アクセスポイントに関連したそれらとすることができる。サービスプロバイダは、請求書送付アドレス及びアクセスポイントに対する他のメディア許可が既に関係付けられている可能性があるので、それらの同じ許可を比較的簡単に、すなわち実行する必要がない余分なMACアドレス又はIPアドレスのマッチングを実行することなく、ユーザ装置に拡大することができる。   Matching MAC addresses, for example, if it is desirable not to use cookies, or to avoid performing other actions to identify user devices and / or users, where cookies used do not self-identify and / or Authenticated / media permissions for the user device, rather than by performing some other mapping operation, may rather be those associated with the access point. The service provider may already be associated with the billing address and other media permissions for the access point, so that those same permissions are relatively simple, i.e. extra MAC addresses that do not need to be performed or It can be expanded to user devices without performing IP address matching.

ブロック94において、ユーザ装置でクッキーを使用及び/又は保存する場合、クッキーをリフレッシュする。クッキーの有効期限は、リフレッシュを用いて、その最後のプロビジョニングで規定された有効期限を越えて延長することができる。クッキーを比較的高い頻度で及び信頼できるベースで用いるとき、サービスを中断させるよりはむしろ、クッキーは、ゼロサインオンの継続性を維持するために、自動的にリフレッシュされるようにしてもよい。これは、同じウェブサイト及び/又はメディアサービスに頻繁にアクセスするユーザのゼロサインオン機能を維持するのに役に立つことができる。 At block 94, if the user device uses and / or stores the cookie, the cookie is refreshed. The expiration date of the cookie can be extended beyond the expiration date specified in its last provisioning using refresh. When using cookies at a relatively high frequency and on a reliable basis, rather than disrupting service, the cookies may be automatically refreshed to maintain continuity of zero sign- on. This can be useful for maintaining zero sign- on functionality for users who frequently access the same website and / or media service.

ブロック86に戻って、アクセスポイントが信頼できないと判定された場合、ブロック96に進み、信頼認証情報のうちのどれを用いるかを判定する。例えば、ユーザが、ユーザ装置を仲間のホームネットワークに持って行く代わりに、ユーザ装置を、サービスプロバイダの信頼できるドメインの外のWi−Fiホットスポットに持って行った場合、ブロック96に進む。ブロック96において選択する信頼認証情報は、ブロック88における手順と同じ手順で判定することができる。証明書を用いる場合、ブロック90の手順を用いて、メディアサービスに対するアクセスを容易にする。証明書のプロビジョニングは、クッキーよりも制限的な方法で行われるので、比較的信頼できる証明書を考慮すると、アクセスポイントの信頼性の無さを無視することは、サービスプロバイダにとって容認することができる。   Returning to block 86, if it is determined that the access point is not trusted, proceed to block 96 to determine which of the trusted authentication information to use. For example, if the user took the user device to a Wi-Fi hotspot outside the trusted domain of the service provider instead of taking the user device to a fellow home network, proceed to block 96. The trusted authentication information selected at block 96 can be determined by the same procedure as at block 88. If a certificate is used, the procedure of block 90 is used to facilitate access to the media service. Certificate provisioning is done in a more restrictive way than cookies, so ignoring the untrustworthiness of an access point can be tolerated by service providers when considering relatively reliable certificates. .

ユーザ装置が証明書を含まない場合、あるいは保存されている証明書が認証手順の一部として用いられない場合、ブロック98において、クッキーが有効かどうかを判定する。クッキーは、上述したように、限られた期間は有効とすることができる。クッキーが無効な場合、ブロック100において、メディアサービスに対するアクセスが許可されるように、ユーザにサインオン動作を完了することを要求する。クッキーが有効な場合、ブロック102において、ゼロサインオンを、例えばブロック92と同じ方法で実行する。オプションとして、アクセスポイントが信頼できるために、クッキーに頼ることなく、ゼロサインオンを許可するブロック92とは対照的に、ブロック102において、クッキーを用いて、ゼロサインオンを実行することを要求してもよい。アクセスポイントが信頼できなくなった後は、リフレッシュを許可する前の信頼できるアクセスポイントにユーザ装置を接続することを強制するために、ブロック94は省略してもよい。 If the user device does not include a certificate, or if the stored certificate is not used as part of the authentication procedure, it is determined at block 98 whether the cookie is valid. Cookies can be valid for a limited period of time, as described above. If the cookie is invalid, block 100 requests the user to complete a sign- on operation so that access to the media service is permitted. If the cookie is valid, at block 102, zero sign- on is performed, for example, in the same manner as block 92. Optionally, because the access point can be trusted, it requests to perform zero sign- on using a cookie in block 102, as opposed to block 92 which allows zero sign- on without relying on cookies. May be. After the access point becomes untrusted, block 94 may be omitted to force the user device to connect to the trusted access point before allowing refresh.

上述したように、IPソースアドレスを用いて、ゼロサインオン機能をサポートすることができる。本発明は、IPアドレスが検証されて、スプーフィングされていない、すなわち改竄されていないことを保証するアドレス保証手順を実行することを意図している。オプションとして、本発明によって意図するゼロサインオンは、DOCSISケーブルモデム(アクセスポイント)のMACアドレス及びクライアントアプリケーションのIPソースアドレスに基づくことができる。 As described above, the zero sign- on function can be supported using the IP source address. The present invention is intended to perform an address assurance procedure that ensures that an IP address has been verified and not spoofed, i.e., has not been tampered with. Optionally, the zero sign- on contemplated by the present invention can be based on the MAC address of the DOCSIS cable modem (access point) and the IP source address of the client application.

ケーブルモデムMACアドレスのスプーフィング又はクローン化は、以下によって阻止することができる:DOCSISBPI+の強制、BPI+は、デジタル証明書を用いて、MACアドレス認証を含めてCMを認証する(DOCSIS3.0は、BPI+強制機能を提供し、その開示は、引用することにより、本願に完全に援用される);MACアドレスドメイン認証、そこにおいて、ケーブルモデムプロビジョニングシステムだけが、ケーブルモデムが許可されたCMTMACアドレスドメインで動作することを許可し、ハッカーがMACアドレスのクローンを作り、それを異なるMACアドレスドメインで使うことを試みる場合、プロビジョニングシステムは、それを阻止する(注:CMTは、同じドメインの複製のMACアドレスを阻止する)。   Cable modem MAC address spoofing or cloning can be blocked by: DOCSISBPI + enforcement, BPI + uses a digital certificate to authenticate the CM, including MAC address authentication (DOCSIS3.0 uses BPI + Provide the enforcement function, the disclosure of which is fully incorporated herein by reference); MAC address domain authentication, where only the cable modem provisioning system operates in the CMT MAC address domain in which the cable modem is authorized If a hacker attempts to clone a MAC address and use it in a different MAC address domain, the provisioning system will block it (Note: CMT will duplicate the MAC address of the same domain) To prevent).

IPアドレススプーフィングは、以下によって阻止することができる:MSOのクライアントサブネット内のソースIPアドレスを有するMSOの信頼できるドメインの外側(例えば、外部ネットワーク(インターネット))からのトラフィックを遮断することを要求されるルータ構成(装置が接続されたケーブルモデム/アクセスポイント);ソースアドレス検証、そこでは、MSOのネットワーク上のクライアントアプリケーションは、MSOのプロビジョニングシステム(DOCSIS3.0は、この機能を提供する)によって割り当てられたIPアドレスだけを使うことができる。   IP address spoofing can be prevented by: required to block traffic from outside the MSO's trusted domain (eg, external network (Internet)) with the source IP address in the MSO's client subnet. Router configuration (cable modem / access point to which the device is connected); source address verification, where client applications on the MSO network are allocated by the MSO provisioning system (DOCSIS 3.0 provides this functionality) Only specified IP addresses can be used.

上述では例示的な実施の形態を説明したが、これらの実施の形態が発明の全ての可能な形態を表しているものではない。むしろ、明細書で用いた文言は、限定するのではなくむしろ説明の文言であり、発明の精神と範囲から逸脱することなく、様々に変更できるものである。さらに、実施の形態を実現する様々な特徴を組み合わせて、発明の更なる実施の形態を形成することができる。   While exemplary embodiments have been described above, these embodiments do not represent all possible forms of the invention. Rather, the language used in the specification is language of description rather than limitation, and various changes can be made without departing from the spirit and scope of the invention. Further, various features that implement the embodiments can be combined to form further embodiments of the invention.

Claims (8)

メディアサービスに対するゼロサインオンアクセスを容易にする方法であって、
ユーザ装置上で動作するクライアントアプリケーションに第1のアクセスポイントを介して信頼認証情報を提供し、上記信頼認証情報は上記ユーザ装置のためにメディアサービス許可を規定し、上記第1のアクセスポイントは信頼できるステップと、
上記信頼認証情報で規定されたメディアサービス許可に基づいて、第2のアクセスポイントを介してメディアサービスに対する上記ユーザ装置のゼロサインオンアクセスを許可するステップと
を含み、
上記第2のアクセスポイントが信頼できない場合、
i.上記信頼認証情報が上記第2のアクセスポイントを介して提供されたときに期限切れでない場合、上記第2のアクセスポイントを介した第1の段階の上記メディアサービスへのゼロサインオンアクセスを許可し、
ii.上記信頼認証情報が上記第2のアクセスポイントを介して提供されたときに期限切れである場合、上記第2のアクセスポイントを介した第2の段階の上記メディアサービスへのサインオンアクセスを許可し、
上記第2のアクセスポイントが信頼できるとき、
i.上記信頼認証情報が上記第2のアクセスポイントを介して提供されたときに期限切れでない場合、上記第2のアクセスポイントを介した第3の段階の上記メディアサービスへのゼロサインオンアクセスを許可し、
上記第3の段階は上記第1の段階より多くの上記メディアサービスを含み、上記第1の段階は上記第2の段階より多くの上記メディアサービスを含み、
上記信頼認証情報が上記第1のアクセスポイントを介して上記ユーザ装置に提供された後、第1のテレビ番組がインターネット上に第3のアクセスポイントへストリーミングされるステップと、
上記第3のアクセスポイントが信頼できる及び信頼できないのどちらの一つであるかを判定するステップと、
上記ユーザ装置がそれを介して第1の要求を知らせたことに応じて、上記ユーザ装置に上記第3のアクセスポイントを介して上記第1のテレビ番組へのゼロサインオンアクセスを許可するステップと
をさらに含み、上記許可するステップは、
i.上記第3のアクセスポイントが信頼できると判定された場合、上記ユーザ装置に上記第3のアクセスポイントを介して上記信頼認証情報を提供することを要求することなく、上記第1のテレビ番組へのゼロサインオンアクセスを許可するステップと、
ii.上記第3のアクセスポイントが信頼できないと判定された場合、上記ユーザ装置が上記第3のアクセスポイントを介して上記信頼認証情報を提供するときに、上記第1のテレビ番組へのゼロサインオンアクセスを許可するステップと
を含み、
上記ユーザ装置に上記第1のアクセスポイントを介して上記信頼認証情報が提供された後、インターネットを介して第4のアクセスポイントに第2のテレビ番組がストリーミングされるステップと、
上記第4のアクセスポイントが信頼できる及び信頼できないのどちらの一つであるかを判定するステップと、
上記ユーザ装置がそれを介して第2の要求を知らせたことに応じて、上記ユーザ装置に上記第4のアクセスポイントを介して上記第2のテレビ番組へのアクセスを許可するステップと
をさらに含み、上記許可するステップは、
i.上記第4のアクセスポイントが信頼できると判定された場合、又は上記第4のアクセスポイントが信頼できないものであると判定され、上記ユーザ装置がそれを介して上記信頼認証情報を提供する場合、上記2のテレビ番組へのゼロサインオンアクセスを許可するステップと、
ii.上記ユーザ装置のユーザが、上記第4のアクセスポイントを介して上記第2のテレビ番組の要求が知らされた時間に近く、十分なユーザ名及びパスワードの組み合わせを入力した場合、上記第4のアクセスポイントが信頼できないと判定され、上記信頼認証情報が上記ユーザ装置から上記第4のアクセスポイントを介して供給されたときに期限切れであるときに、サインオンアクセスを許可するステップと
を含む方法。 A method for facilitating zero sign-on access to media services,
Providing trust authentication information via a first access point to a client application running on the user device, wherein the trust authentication information defines media service permissions for the user device, and the first access point is trusted Possible steps,
Allowing zero sign-on access of the user equipment to the media service via a second access point based on the media service authorization defined in the trust authentication information,
If the second access point is not reliable,
i. If the trusted authentication information is not expired when provided via the second access point, permit zero sign-on access to the media service in the first stage via the second access point;
ii. If the trusted authentication information has expired when provided via the second access point, permit sign-on access to the media service in a second stage via the second access point;
When the second access point is reliable,
i. If the trusted authentication information is not expired when provided via the second access point, permit zero sign-on access to the media service in the third stage via the second access point;
The third stage includes a number of the media service than the first stage, the first stage seen contains many of the media service than the second stage,
After the trust authentication information is provided to the user device via the first access point, a first television program is streamed over the Internet to a third access point;
Determining whether the third access point is trusted or unreliable;
Allowing the user device to provide zero sign-on access to the first television program via the third access point in response to the user device notifying the first request via the user device;
And the step of permitting comprises:
i. If it is determined that the third access point is reliable, the user apparatus can be accessed to the first television program without requiring the user device to provide the trust authentication information via the third access point. Allowing zero sign-on access;
ii. If it is determined that the third access point is not reliable, zero sign-on access to the first television program when the user device provides the trust authentication information via the third access point Allow step and
Including
After the trust authentication information is provided to the user device via the first access point, a second television program is streamed to a fourth access point via the Internet;
Determining whether the fourth access point is one of trusted and untrusted;
Allowing the user device to access the second television program via the fourth access point in response to the user device notifying the second request via the user device;
And the step of permitting comprises:
i. When it is determined that the fourth access point is reliable, or when it is determined that the fourth access point is unreliable and the user apparatus provides the trust authentication information via it, Allowing zero sign-on access to two television programs;
ii. If the user of the user device enters a sufficient username and password combination close to the time when the request for the second television program is informed via the fourth access point, the fourth access Allowing sign-on access when it is determined that the point is untrusted and the trust authentication information is expired when supplied from the user device via the fourth access point;
Including methods. 上記メディアサービス許可を、上記アクセスポイントに関連した加入者に関連付けるステップをさらに含む請求項1記載の方法。   The method of claim 1, further comprising associating the media service authorization with a subscriber associated with the access point. 上記ユーザ装置に関連した加入者とは異なる上記アクセスポイントに関連した加入者のメディアサービス許可をさらに含む請求項記載の方法。 3. The method of claim 2 , further comprising a subscriber media service authorization associated with the access point different from a subscriber associated with the user equipment. 上記メディアサービス許可を、上記ユーザ装置に関連した加入者に関連付けるステップをさらに含む請求項1記載の方法。   The method of claim 1, further comprising associating the media service authorization with a subscriber associated with the user equipment. 上記信頼認証情報を、上記ユーザ装置のコンピュータで読取り可能な媒体に保存されているクッキーとして構成するステップをさらに含み、ユーザ名及びパスワードの認証を要求することなく、上記クライアントアプリケーションが上記信頼できない第2のアクセスポイントを介してメディアサービスにゼロサインオンアクセスをしようと試みる前に、上記信頼できる第1のアクセスポイントを介して上記クライアントアプリケーションに上記クッキーを提供するステップを含む請求項1記載の方法。   Further comprising the step of configuring the trust authentication information as a cookie stored on a computer readable medium of the user device, wherein the client application is not trusted without requesting user name and password authentication. The method of claim 1 including providing the cookie to the client application via the trusted first access point before attempting zero sign-on access to a media service via two access points. . 上記信頼認証情報を、上記ユーザ装置のコンピュータで読取り可能な媒体に保存されている証明書として構成するステップをさらに含み、ユーザ名及びパスワードの認証に続いて、上記クライアントアプリケーションが上記信頼できない第2のアクセスポイントを介してメディアサービスにゼロサインオンアクセスをしようと試みる前に、上記信頼できる第1のアクセスポイントを介して上記クライアントアプリケーションに上記証明書を提供することを含む請求項1記載の方法。   Further comprising the step of configuring the trusted authentication information as a certificate stored on a computer readable medium of the user device, following authentication of a username and password, the client application is the second untrusted The method of claim 1 including providing the certificate to the client application via the trusted first access point prior to attempting zero sign-on access to a media service via the access point. . 上記信頼認証情報が上記第1のアクセスポイントを介して生じるプロビジョニング段階の一部として上記ユーザ装置に提供されるように、上記ユーザ装置に上記信頼認証情報のために規定されたメディアサービスに上記第2のアクセスポイントを介したアクセスを許可する前であって、上記ユーザ装置が上記信頼認証情報のために規定された上記メディアサービスに上記第2のアクセスポイントを介したゼロサインオンアクセスを試みる認証段階の前に、上記ユーザ装置に上記第1のアクセスポイントを介して上記信頼認証情報を提供するステップをさらに含む請求項1記載の方法。   The media service defined for the trust authentication information is provided to the user device so that the trust authentication information is provided to the user device as part of a provisioning step that occurs via the first access point. Before allowing access through the second access point, wherein the user equipment attempts zero sign-on access through the second access point to the media service defined for the trusted authentication information The method of claim 1, further comprising: providing the trusted authentication information to the user equipment via the first access point prior to the step. 上記ユーザ装置に割り当てられた上記第1の要求で規定されたインターネットプロトコル(IP)アドレスが上記第1のテレビ番組をストリーミングしているサービスプロバイダの信頼できるドメイン内であるかどうかに依存して、上記第3のアクセスポイントが信頼できるか及び信頼できないのどちらの一つであるかを判定することをさらに含む請求項に記載の方法。 Depending on whether the Internet Protocol (IP) address specified in the first request assigned to the user equipment is within the trusted domain of the service provider streaming the first television program, The method of claim 1 , further comprising determining whether the third access point is trusted or untrusted.
JP2014518942A 2011-06-30 2012-06-27 Zero sign-on authentication Active JP5736511B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/173,630 2011-06-30
US13/173,630 US8955078B2 (en) 2011-06-30 2011-06-30 Zero sign-on authentication
PCT/US2012/044328 WO2013003419A1 (en) 2011-06-30 2012-06-27 Zero sign-on authentication

Publications (3)

Publication Number Publication Date
JP2014521146A JP2014521146A (en) 2014-08-25
JP2014521146A5 JP2014521146A5 (en) 2014-12-11
JP5736511B2 true JP5736511B2 (en) 2015-06-17

Family

ID=47392124

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014518942A Active JP5736511B2 (en) 2011-06-30 2012-06-27 Zero sign-on authentication

Country Status (6)

Country Link
US (4) US8955078B2 (en)
JP (1) JP5736511B2 (en)
CA (1) CA2840205C (en)
DE (1) DE112012002729T5 (en)
GB (1) GB2506066B (en)
WO (1) WO2013003419A1 (en)

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8776214B1 (en) 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
US8955078B2 (en) 2011-06-30 2015-02-10 Cable Television Laboratories, Inc. Zero sign-on authentication
US9767262B1 (en) 2011-07-29 2017-09-19 Amazon Technologies, Inc. Managing security credentials
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
US8955065B2 (en) 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
US9621403B1 (en) * 2012-03-05 2017-04-11 Google Inc. Installing network certificates on a client computing device
US9154568B2 (en) * 2012-03-20 2015-10-06 Facebook, Inc. Proxy bypass login for applications on mobile devices
US9672574B2 (en) 2012-03-20 2017-06-06 Facebook, Inc. Bypass login for applications on mobile devices
US9369458B2 (en) * 2012-05-18 2016-06-14 Red Hat, Inc. Web-centric authentication protocol
US9461991B2 (en) * 2012-11-30 2016-10-04 Entersekt International Limited Virtual smartcard authentication
US10200351B2 (en) * 2013-03-14 2019-02-05 Google Llc System for managing remote software applications
KR101880346B1 (en) * 2013-05-23 2018-07-19 미쓰비시덴키 가부시키가이샤 Relay device, communication scheme selection method, and storage medium for storing program
US9590884B2 (en) * 2013-07-03 2017-03-07 Facebook, Inc. Native application hotspot
US9154955B1 (en) 2013-07-08 2015-10-06 Sprint Communications Company L.P. Authenticated delivery of premium communication services to trusted devices over an untrusted network
US9154949B1 (en) 2013-07-08 2015-10-06 Sprint Communications Company L.P. Authenticated delivery of premium communication services to untrusted devices over an untrusted network
CN103475998A (en) * 2013-08-30 2013-12-25 北京智谷睿拓技术服务有限公司 Wireless network service providing method and system
EP2852118B1 (en) * 2013-09-23 2018-12-26 Deutsche Telekom AG Method for an enhanced authentication and/or an enhanced identification of a secure element located in a communication device, especially a user equipment
US9319419B2 (en) * 2013-09-26 2016-04-19 Wave Systems Corp. Device identification scoring
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
US9560524B1 (en) * 2013-12-03 2017-01-31 Sprint Communications Company L.P. Wireless network application access by a wireless communication device via an untrusted access node
GB2523331A (en) * 2014-02-20 2015-08-26 Ibm Attribute-based access control
US9319407B1 (en) * 2014-04-18 2016-04-19 Sprint Communications Company L.P. Authentication extension to untrusted devices on an untrusted network
CN105592014B (en) * 2014-10-24 2019-02-15 阿里巴巴集团控股有限公司 A kind of trusted terminal verification method, device
US10148792B1 (en) * 2015-05-20 2018-12-04 Network Advertising Initiative Inc. Opt-out enforcement for systems using non-cookie browser identification
US9973467B2 (en) * 2015-07-24 2018-05-15 Aruba Networks, Inc. Auto provisioning of bulk access points
US20170111364A1 (en) * 2015-10-14 2017-04-20 Uber Technologies, Inc. Determining fraudulent user accounts using contact information
JP6633886B2 (en) * 2015-10-23 2020-01-22 ビッグローブ株式会社 Authentication system, authentication method and program
US10305885B2 (en) 2016-03-03 2019-05-28 Blackberry Limited Accessing enterprise resources using provisioned certificates
US10637872B2 (en) 2017-02-23 2020-04-28 Synamedia Limited Behavior-based authentication
US11190501B2 (en) 2017-08-22 2021-11-30 Terawe Corporation Hybrid single sign-on for software applications and services using classic and modern identity providers
EP3546156B1 (en) 2018-03-30 2021-03-10 The Gillette Company LLC Razor handle with a pivoting portion
EP4064746A1 (en) 2018-04-23 2022-09-28 Spotify AB Association via broadcast
US20200053095A1 (en) * 2018-08-07 2020-02-13 Comcast Cable Communications, Llc Systems And Methods For Managing Access Control
US10733473B2 (en) 2018-09-20 2020-08-04 Uber Technologies Inc. Object verification for a network-based service
US10999299B2 (en) 2018-10-09 2021-05-04 Uber Technologies, Inc. Location-spoofing detection system for a network service
JP2020096275A (en) * 2018-12-12 2020-06-18 コネクトフリー株式会社 Information communication method and information communication system
US11122029B2 (en) * 2019-01-11 2021-09-14 Citrix Systems, Inc. Secure cloud computing
US11540130B2 (en) 2019-02-04 2022-12-27 802 Secure, Inc. Zero trust wireless monitoring-system and method for behavior based monitoring of radio frequency environments
US11422912B2 (en) 2019-04-19 2022-08-23 Vmware, Inc. Accurate time estimates for operations performed on an SDDC
US11330441B2 (en) * 2019-05-14 2022-05-10 T-Mobile Usa, Inc. Systems and methods for remote device security attestation and manipulation detection
US11424940B2 (en) * 2019-06-01 2022-08-23 Vmware, Inc. Standalone tool for certificate management
US11503012B1 (en) * 2019-06-28 2022-11-15 Amazon Technologies, Inc. Client authentication using a client certificate-based identity provider
CN111431870B (en) * 2020-03-10 2022-05-03 北京声智科技有限公司 Equipment login method and device
US11140148B1 (en) * 2020-03-30 2021-10-05 Konica Minolta Business Solution U.S.A., Inc. Method and system for instant single sign-on workflows
US11757636B2 (en) 2020-06-25 2023-09-12 Oracle International Corporation Access control for short-lived resource principals
US11418343B2 (en) * 2020-06-25 2022-08-16 Oracle International Corporation Access control for long-lived resource principals
US11811679B2 (en) 2020-06-25 2023-11-07 Oracle International Corporation Stacked identities for resource principals
JP7353661B2 (en) * 2021-12-27 2023-10-02 株式会社制御システム研究所 Electronic certificate embedding method and digital certificate embedding system

Family Cites Families (59)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998059481A1 (en) * 1997-06-25 1998-12-30 Inforonics, Inc. Apparatus and method for identifying clients accessing network sites
US5991878A (en) * 1997-09-08 1999-11-23 Fmr Corp. Controlling access to information
US7058600B1 (en) * 1997-09-26 2006-06-06 Mci, Inc. Integrated proxy interface for web based data management reports
US9197599B1 (en) * 1997-09-26 2015-11-24 Verizon Patent And Licensing Inc. Integrated business system for web based telecommunications management
US6286038B1 (en) * 1998-08-03 2001-09-04 Nortel Networks Limited Method and apparatus for remotely configuring a network device
US6442588B1 (en) * 1998-08-20 2002-08-27 At&T Corp. Method of administering a dynamic filtering firewall
US20020186249A1 (en) * 1999-10-28 2002-12-12 Qi Lu Method and system of facilitating automatic login to a web site using an internet browser
AU2001247295A1 (en) * 2000-03-07 2001-09-17 General Instrument Corporation Authenticated dynamic address assignment
CA2327078C (en) * 2000-11-30 2005-01-11 Ibm Canada Limited-Ibm Canada Limitee Secure session management and authentication for web sites
US7325246B1 (en) * 2002-01-07 2008-01-29 Cisco Technology, Inc. Enhanced trust relationship in an IEEE 802.1x network
US6973086B2 (en) * 2002-01-28 2005-12-06 Nokia Corporation Method and system for securing mobile IPv6 home address option using ingress filtering
CA2789166A1 (en) * 2002-03-01 2003-09-12 Enterasys Networks, Inc. Location aware data network
US7761703B2 (en) * 2002-03-20 2010-07-20 Research In Motion Limited System and method for checking digital certificate status
US7752329B1 (en) * 2002-10-31 2010-07-06 Aol Inc. Migrating configuration information based on user identity information
US8260941B2 (en) * 2002-12-20 2012-09-04 Time Warner Cable, Inc. System and method for detecting and reporting cable modems with duplicate media access control addresses
US7533158B2 (en) * 2003-01-17 2009-05-12 At&T Intellectual Property I, L.P. System and method for handling digital content delivery to portable devices
GB0311621D0 (en) * 2003-05-20 2003-06-25 Nokia Corp A system for crytographical authentication
JP2004355073A (en) * 2003-05-27 2004-12-16 Nippon Telegr & Teleph Corp <Ntt> Network authentication, batch authentication method for single sign-on, and system therefor
US7346344B2 (en) * 2003-05-30 2008-03-18 Aol Llc, A Delaware Limited Liability Company Identity-based wireless device configuration
US8555344B1 (en) * 2003-06-05 2013-10-08 Mcafee, Inc. Methods and systems for fallback modes of operation within wireless computer networks
US7499548B2 (en) * 2003-06-24 2009-03-03 Intel Corporation Terminal authentication in a wireless network
WO2005011192A1 (en) * 2003-07-11 2005-02-03 Nippon Telegraph & Telephone Authentication system based on address, device thereof, and program
US7346923B2 (en) * 2003-11-21 2008-03-18 International Business Machines Corporation Federated identity management within a distributed portal server
US7636941B2 (en) 2004-03-10 2009-12-22 Microsoft Corporation Cross-domain authentication
JP4645049B2 (en) * 2004-03-19 2011-03-09 株式会社日立製作所 Content transmitting apparatus and content transmitting method
US8325625B2 (en) * 2004-03-23 2012-12-04 Smith Micro Software, Inc. Method and system for automatic data transfer on a network-connected device
US20050239445A1 (en) * 2004-04-16 2005-10-27 Jeyhan Karaoguz Method and system for providing registration, authentication and access via broadband access gateway
US8261070B2 (en) * 2004-04-23 2012-09-04 The Boeing Company Authentication of untrusted gateway without disclosure of private information
US20060005032A1 (en) * 2004-06-15 2006-01-05 Adam Cain Method and system for enabling trust-based authorization over a network
JP4671783B2 (en) 2004-07-20 2011-04-20 株式会社リコー Communications system
US8010542B2 (en) 2004-09-10 2011-08-30 B2I Technologies, Inc. Apparatus and method for building conjoined computer systems
US7340769B2 (en) * 2005-01-07 2008-03-04 Cisco Technology, Inc. System and method for localizing data and devices
US7624271B2 (en) * 2005-03-24 2009-11-24 Intel Corporation Communications security
US20060230278A1 (en) * 2005-03-30 2006-10-12 Morris Robert P Methods,systems, and computer program products for determining a trust indication associated with access to a communication network
US8553882B2 (en) * 2006-03-16 2013-10-08 Time Warner Cable Enterprises Llc Methods and apparatus for connecting a cable network to other network and/or devices
US7912762B2 (en) 2006-03-31 2011-03-22 Amazon Technologies, Inc. Customizable sign-on service
US20070233899A1 (en) * 2006-04-03 2007-10-04 Aborn Justin A Locating devices
US8151116B2 (en) * 2006-06-09 2012-04-03 Brigham Young University Multi-channel user authentication apparatus system and method
JP2008021297A (en) * 2006-06-12 2008-01-31 Sharp Corp Content distribution system and portable terminal
JP4920328B2 (en) * 2006-07-04 2012-04-18 ソフトバンクモバイル株式会社 Authentication method, mobile communication terminal device, domain system, home domain system, and authentication system
US8332925B2 (en) * 2006-08-08 2012-12-11 A10 Networks, Inc. System and method for distributed multi-processing security gateway
CA2620673C (en) * 2006-10-23 2014-01-14 T-Mobile Usa, Inc. System and method for managing access point functionality and configuration
KR100795157B1 (en) * 2006-12-06 2008-01-16 주식회사 조인온 Method for providing wireless lan service with rental digital television and system thereof
EP2037652A3 (en) * 2007-06-19 2009-05-27 Panasonic Corporation Methods and apparatuses for detecting whether user equipment resides in a trusted or a non-trusted access network
JP5331354B2 (en) * 2008-03-17 2013-10-30 日立コンシューマエレクトロニクス株式会社 Content transmission device and content reception device
WO2009124385A1 (en) * 2008-04-11 2009-10-15 Dunk Craig A Systems, methods and apparatus for providing media content
US8229812B2 (en) * 2009-01-28 2012-07-24 Headwater Partners I, Llc Open transaction central billing system
US8428036B2 (en) * 2009-01-22 2013-04-23 Belair Networks Inc. System and method for providing wireless local area networks as a service
JP5372595B2 (en) * 2009-05-14 2013-12-18 日立コンシューマエレクトロニクス株式会社 Content transmitting apparatus and content receiving apparatus
WO2011000152A1 (en) * 2009-06-30 2011-01-06 上海贝尔股份有限公司 Roaming method for mobile terminal in wireless local area network, related access controller and access point device
EP2534810B1 (en) * 2010-02-09 2014-04-16 InterDigital Patent Holdings, Inc. Method and apparatus for trusted federated identity
US8832207B2 (en) * 2010-06-08 2014-09-09 Motorola Solutions, Inc. Method for identifying client station association in a communication system
US8315896B2 (en) * 2010-07-30 2012-11-20 Aruba Networks, Inc. Network device and method for calculating energy savings based on remote work location
US8898759B2 (en) * 2010-08-24 2014-11-25 Verizon Patent And Licensing Inc. Application registration, authorization, and verification
US8713589B2 (en) * 2010-12-23 2014-04-29 Microsoft Corporation Registration and network access control
KR101328779B1 (en) * 2010-12-24 2013-11-13 주식회사 팬택 Mobile terminal, server and information providing method using the same
EP2727261A4 (en) * 2011-06-28 2015-02-18 Hewlett Packard Development Co Method of associating a client with an access point in a wireless local area network
US8955078B2 (en) 2011-06-30 2015-02-10 Cable Television Laboratories, Inc. Zero sign-on authentication
US10430804B2 (en) * 2011-08-02 2019-10-01 Matthew Campbell Patterson System and method for accessing a hub

Also Published As

Publication number Publication date
GB2506066A (en) 2014-03-19
GB2506066B (en) 2015-11-11
JP2014521146A (en) 2014-08-25
US11178130B2 (en) 2021-11-16
US20150172277A1 (en) 2015-06-18
CA2840205C (en) 2015-05-26
US20220078179A1 (en) 2022-03-10
US9961067B2 (en) 2018-05-01
DE112012002729T5 (en) 2014-03-27
US8955078B2 (en) 2015-02-10
US20130007868A1 (en) 2013-01-03
US20180255050A1 (en) 2018-09-06
GB201322974D0 (en) 2014-02-12
WO2013003419A1 (en) 2013-01-03
CA2840205A1 (en) 2013-01-03

Similar Documents

Publication Publication Date Title
JP5736511B2 (en) Zero sign-on authentication
US11962826B2 (en) Zero sign-on authentication
US9225706B2 (en) Multiple access point zero sign-on
US8850187B2 (en) Subscriber certificate provisioning
US11843602B2 (en) Embedded authentication in a service provider network
US9413762B2 (en) Asynchronous user permission model for applications
JP2014521146A5 (en)
US8824372B2 (en) Location based authentication for online services
EP2979420B1 (en) Network system comprising a security management server and a home network, and method for including a device in the network system
US10637850B2 (en) Method and system for accessing service/data of a first network from a second network for service/data access via the second network
US8769623B2 (en) Grouping multiple network addresses of a subscriber into a single communication session
CN105873053B (en) Method and system for embedding access authentication page into webpage and wireless access point
US20120106399A1 (en) Identity management system
JP6312325B2 (en) Client terminal authentication system and client terminal authentication method in wireless communication
US20150341328A1 (en) Enhanced Multi-Level Authentication For Network Service Delivery

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20141021

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141021

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20141021

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20141127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150120

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150318

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150407

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150420

R150 Certificate of patent or registration of utility model

Ref document number: 5736511

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250